応用情報技術者試験令和4年春午前問38 解説付き過去問

問題

チャレンジレスポンス認証方式に該当するものはどれか。

固定パスワードを、TLSによる暗号通信を使い、クライアントからサーバに送信して、サーバで検証する。

端末のシリアル番号を、クライアントで秘密鍵を使って暗号化し、サーバに送信して、サーバで検証する。

トークンという装置が自動的に表示する、認証のたびに異なる数字列をパスワードとしてサーバに送信して、サーバで検証する。

利用者が入力したパスワードと、サーバから受け取ったランダムなデータとをクライアントで演算し、その結果をサーバに送信して、サーバで検証する。

この問題は、チャレンジレスポンス認証方式についての理解を問うものです。チャレンジレスポンス認証は、セキュリティが強化された認証方法の一つで、不正アクセスのリスクを低減します。

チャレンジレスポンス認証方式の基本概念
チャレンジレスポンス認証方式では、サーバがランダムなデータ（チャレンジ）をクライアントに送信し、クライアントはそのチャレンジを用いて何らかの計算を行い、その結果（レスポンス）をサーバに送ります。これにより、クライアントが正当な利用者であることをサーバが検証します。
各選択肢の評価
最初の選択肢は固定パスワードを用いるため、チャレンジレスポンス認証方式ではありません。二番目の選択肢も、端末の固定的な情報を用いるため該当しません。三番目の選択肢は、トークンからの一時的な数字列を用いるものの、チャレンジとレスポンスの計算プロセスが含まれていないため、これもチャレンジレスポンス認証方式ではありません。正解の選択肢は、サーバが提供したランダムなデータを用いてクライアント側で計算を行い、その結果をサーバが検証するプロセスを含んでいるため、チャレンジレスポンス認証方式に該当します。

したがって、利用者が入力したパスワードと、サーバから受け取ったランダムなデータをクライアントで演算し、その結果をサーバに送信して、サーバで検証する方式がチャレンジレスポンス認証に該当し、正解です。